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Werkzeuge zum Vulnerability-Assessment 


Applikationen 
gegen Fehler {E 


Schwachstellen in Clients und Servern zu finden und zu 
beheben, gehört aktuell zu einer der wichtigsten Ab- 
wehrmaßnahmen. Schreiben Cracker ihren Schadens- 
code doch hauptsächlich, um die Programmfehler aus- 
zunützen. Vulnerability-Assessment-Scanner spüren die 
Angriffspunkte auf, bevor es der Saboteur tut. 


ie Gattung des Vulnerability-Assess- 
ments ( VA) ist nicht neu. Sie 
existiert seit einer Dekade. In dieser Zeit 
haben die Hersteller ihre Tools kon- 
tinuierlich mit Funktionen angereichert, 
die den Wirkungsbereich stärker in 
Richtung Netzwerksicherheit ver- 
schoben. Die Praxis hat diese Tendenz 
noch verstärkt. Denn die Daten passiver 
Vulnerability-Konzepte beispielsweise 
werden heute verstärkt in ein überge- 
ordnetes Sicherheitsmanagement im- 
portiert. Letzteres verknüpft die VA- 
Daten mit anderen abwehrrelevanten 
Informationen, um daraus unter 
anderem eine generelle Übersicht über 
das Sicherheitsniveau zu berechnen. 
Die Entwicklungen in dem großen 
Vulnerability-Management-Bereich sind 
nicht losgelöst, sondern stark abhängig 
voneinander. Ohne passive Er- 
kennungsmechanismen bleiben 
Vulnerabilties auf der Client-Seite ak- 
tiven Scannern eventuell verborgen. 
Eine Schwachstellen-Analyse ist ins- 
gesamt weniger effizient, wenn sie Daten 
anderer Quellen nicht importiert und 
auswertet. Die verschiedenen Dis- 
ziplinen und Ansätze im Vulnerability- 
Assessment (VA) befruchten sich gegen- 
seitig. 


Strukturhilfen 
Jeder große Themenbereich braucht 
Kategorien, damit er sich strukturieren 
und besser fassen lässt. Im VA-Segment 
wird einmal zwischen passiven und ak- 
tiven, einige sprechen gar von ag- 
gressiven Scannern unterschieden. 
Der Begriff passiver Vulnerability- 
Scanner ist unglücklich gewählt, denn er 
verleitet zu einer falschen Annahme. Ein 
solcher Scanner scannt nicht. So wäre es 
angemessener, bei dieser Kategorie von 
einem Vulnerability-Detection-System 
zu sprechen. Viele Intrusion-Detection- 
Hersteller (IDS) haben letzteren Begriff 
allerdings schon mit Beschlag belegt. 
Nicht ohne Grund, denn in der Tat be- 
sitzen passive VA-Scanner und IDS-Pro- 
dukte einige Gemeinsamkeiten: Beide 
beobachten passiv das Netzwerk, damit 
sie sicherheitsverletzende Daten auf- 
spüren. Beide suchen dabei aber nach 
völlig unterschiedlichen Indikatoren. 


Während ein IDS nicht wenig über- 
raschend nach Einbruchshinweisen (In- 
trusions) sucht, versucht ein passiver VA- 
Scanner, im Netzverkehr Hinweise auf 
existierende Vulnerabilities im Netz zu 
finden. Schwachstellen, die sowohl auf 
Client- als auch auf Serverseite liegen 
können. 

Wie geschieht das? Der passive VA- 
Scanner erkennt beispielsweise einen 
Fehler im Browser, weil er in dessen 
User-Agent-String typische Merkmale 
aufspürt oder er ein verräterisches 
Verkehrsmuster im  Netzverkehr 
erkennt. Solche Vulnerabilities würde ein 
konventioneller VA-Scanner nicht 
finden, außer der Administrator wiese 
ihm lokale Rechte auf dem jeweiligen 
Host zu. 

Wie jedes System hat auch dieses 
Nachteile. Senden bestimmte Clients 
und Server keine Hinweise aus, verhalten 
sie sich also »still«, so wird der passive 
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VA-Scanner sie nicht aufspüren. Er ist 
darauf angewiesen, dass die zu unter- 
suchenden Systeme aktiv Netzverkehr 
generieren und darin Hinweise auf die 
existierende Vulnerability geben. Hier 
sehen sich viele IDS-Hersteller 
äquivalent mit dem VA-Scannertypus. 
Denn auch ein IDS protokolliert einen 
Angriff oder eine ausgenutzte Schwäche, 
es unterbindet aber weder das einenoch 
das andere — wie ein passiver VA- 
Scanner. Allein deswegen ist es unwahr- 
scheinlich, dass passive VA-Ansätze ihre 
aktiven Pendants jemals vollständig 
ersetzen können. Aktive wie passive 
Scanner können und sollten in einem 
Abwehrkonzept nebeneinander exis- 
tieren. 


Weise handeln 

Die Effizienz der Vulnerability- 
Informationen ist daran gebunden, was 
mit ihnen geschieht. Schon eine einzige 
geschickt gewählte Anwendung kann aus 
einem dumpfen IDS-System ein in- 
telligentes Tool formen. Wer beispiels- 
weise ein automatisches System im- 
plementiert, das Informationen von 
verteilten Systemen sowie ihrer ak- 
tuellen Schwächen mit den gegen sie ge- 
richteten Angriffen verknüpft, senkt 
beispielsweise die Anzahl von IDS- 
False-Positives deutlich. 


VA-Checkliste 


= Das VA-Tool muss in der Lage sein, sich 
gegenüber den existierenden externen 
Datenbanken zu authentifizieren. 

= Das VA-Werkzeug sollte die Assets im 
Unternehmen verfolgen können. 

a Der Administrator sollte die Größe der 
VA-Datenbank beachten und unter- 
suchen, ob das .VA-Produkt in für ihn 
wichtigen Software-Bereichen starke 
Checks beherrscht. 

= Das gewünschte VA-System sollte in 
der Lage sein, den Patch-Status zu pro- 
tokollieren. - 

= Beider Kalkulation der Kosten sollten 
unbedingt auch die Lizenzgebühren für 
die VA-Updates berücksichtigt sein. 


Zusätzlich kann eine ganze Reihe von 
Produkten wie der »VAM« von Still- 
secure lokale Administratoren in großen 
Netzen aufspüren. Das Tool weist diesen 
Accounts außerdem IP-Ranges oder 
Hosts zu, für die die lokalen Adminis- 
tratoren dann verantwortlich sind. 

Andere VA-Produkte arbeiten mit 
übergeordneten Management-Ap- 
plikationen zusammen, um ebenso Ver- 
antwortlichkeiten oder Rechte zu- 
zuweisen. Das »VA« von Tenable 
Network Security bindet sich beispiels- 
weise in die Konsole von Lightning ein, 
der »SiteProtector« von ISS kann VA- 
Daten zusammenfassen und delegieren. 
Auf diese Weise können Adminis- 
tratoren ein unternehmensweites 
Vulnerability-Assessment-Konzept 
effizient und- wichtig - der allgemeinen 
Security-Policy entsprechend anwenden. 

Große Unternehmen koppeln VA- 
Lösungen auch an externe Datenbanken, 
die deren Daten einmal archivieren, aber 


gleich nach Relevanz für den kritischen. 


Geschäftsprozess gewichten, kate- 
gorisieren und in Workflow-Prozesse 
überführen. Das VA-Produkt autorisiert 
und authentifiziert die zentral archi- 
vierten Client- und Server-bezogenen 
Informationen und hält sie vor allem auf 
dem neuesten Stand. 


Tiefer und weiter Ansatz 
Einige VA-Systeme liefern auf Wunsch 
zahlreiche Details zu einer spezifischen 
Schwachstelle. Zusätzliche Informationen 
wie lokale Anwendernamen können bei- 
spielsweise beweisen, dass ein spezi- 
fischer Host zahlreiche Remote-Queries 
initiiert, aber niemals schließt. Solche 
Hintergrunddaten sind überzeugend. 
Der für die Datenbanken verantwort- 
liche Kollege wird schnell verstehen, dass 
Schwachstellen auf Clientseite auch für 
ihn Folgen haben können. Jedes VA- 
Werkzeug liefert einige dieser Beweise. 
Ihre Detailtiefe ist abhängig von den 
Funktionen und dem Netz, in dem das 
Tool aktiv ist. 

Wer ein VA-Tool einsetzen möchte, 
sollte auch einen Blick auf die Größe der 
Vulnerability-Datenbank werfen. Die 


pure Anzahl der gelisteten Schwach- 
stellen ist dabei gar nicht ausschlag- 
gebend, denn bestimmte Checks und 
Analysen sind für das eine Netz unver- 
zichtbar, im anderen irrelevant. Eine 
reine Windows-Infrastruktur beispiels- 
weise legt großen Wert auf alle 
Prüfroutinen, die sich auf diesen Soft- 
waretypus konzentrieren. Wenn ein 
Produkt auf diesem Gebiet stark ist, in 
anderen wie Unix gegenüber der Kon- 
kurrenz abfällt, kann es dennoch das 
ideale Werkzeug für diesen individuellen 
Einsatzfall sein. 

Ein anderer wichtiger Faktor sind die 
Zugriffsrechte, die ein VA für seinen Ein- 
satz fordert. Viele VA-Lösungen 
schöpfen bereits existierende Adminis- 
tratorprivilegien aus, um sich remote in 
ein System einzuwählen und beispiels- 
weise die Patchversion zu erfahren. 
Dies ist eigentlich eine Domäne der 
Patch-Management-Tools. Auf diesem 
Weg findet ein VA-Tool aber heraus, ob 
ein Host gewisse Schwachstellen besitzt, 
weil der eine oder andere Patch noch 
fehlt. Fehlen die lokalen Rechte, so soll- 
te der VA-Scanner andere Remote- 
Checks beherrschen, die den Zugriffs- 
mangel auf anderem Weg kom- 
pensieren. 

Am Ende wollen die VA-Tools den 
Administrator informieren. Die Qualität 
dieser Inhalte ist an die Aussagekraft der 
Berichte gebunden. Wer die Reports 
selbst bearbeiten, in Details eintauchen 
möchte, sollte eine Lösung bevorzugen, 
die ihre Berichte entsprechend um- 
gruppieren und aufwerten kann. Ein 
guter Vulnerability-Scanner interpretiert 
die gesamte Zahl der Schwachstellen 
übrigens in einen allgemeinen Graphen 
um, der wie ein Gesamtergebnis den 
Status quo in Netz wiedergibt. Im Ideal- 
fall sinkt der Wert im Betrieb, da die Ver- 
antwortlichen mit den VA-Daten Fehler 
finden und mit der Zeit ausmerzen 
konnten. 

In der Praxis können VA-Scans auch 
Probleme verursachen, gerade bei 
älteren Betriebssystemen und Em- 
bedded-Devices. Sind im Netz mehrere 
kritische Plattformen aufgesetzt, die 
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zwingend verfügbar bleiben müssen, so 
sollte das VA-Produkt sanfte, vorsichtige 
Prüfroutinen beherrschen. Andere Be- 
reiche im Netz verlangen sicher ag- 
gressivere Tests, sei es, um die Emp- 
findlichkeit für einen Denial-of-Service- 
Attack zu untersuchen. Solche Tests 
bevorzugen die Holzhammermethode, 
denn sie trommeln mit Hundert- 
tausenden von Paketen in der Sekunde 
auf das Zielsystem ein. Hier zeigt sich: 
Es ist immer ratsam, vorher zu wissen, 
was das VA-Tool untersuchen soll. 


Finden und reparieren 

Was ein VA-Produkt am Ende aus- 
zeichnet? Es findet die Schwachstellen 
nicht nur, sondern hilft den Verant- 
wortlichen dabei, diese zu beheben. 
Letztere Disziplin heißt passenderweise 
Remediation, auf deutsch Sanierung. 
Der Administrator sollte daher unbe- 
dingt einen Blick auf die vom 
gewünschten Tool gelieferten Remedia- 
tion-Informationen werfen. Gerade bei 
Netzwerken, in denen die Serverpflege 
auf verschiedene Systemadministratoren 


mit wiederum individuellen Rechten 
verteilt ist, spielt die Qualität dieser 
Inhalte eine entscheidende Rolle. Denn 
sie helfen auch weniger erfahrenen 
Kollegen, den betroffenen Server zu 
reparieren und so die aufgedeckten 
Schwachstellen zu beheben. 

Sind im Unternehmen starke 
Change-Kontrollmethoden etabliert, so 


Kommerzielle VA-Angebote 


Hersteller 

Altiris 

Bindview 

BMC 

Cisco 

Check Point 
Computer Associates 
Enterasys 

Eeye 

GFI Software 

Harris 
Hewlett-Packard 
IBM/Tivoli 

Internet Security Systems 
IP Locks 

Landesk 

McAfee 

Symantec 

Tenable Network Security 
Telos Corporation 
Trend Micro 

Qualys 


Webseite 
www.altiris.com 
www.bindview.com 
www.bmc.com 
www.cisco.de 
www.checkpoint.de 
www.ca.com 
www.enterasys.com 
www.eeye.com 
www.gfi.com 
www.stat.harris.com 
www.hewflett-packard.de 
www.ibm.com 
www.iss.net 
www.iplocks.com 
www.landesk.de 
www.mcafee.de 
www.symantec.de 
www.tenablesecurity.com 
www.telos.com 
www.trendmicro.de 
www.qualys.de 
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werden sie die Last tragen, den Patch- 
status zu protokollieren. Falls solche Pro- 
zesse fehlen, sollte das VA-Produkt diese 
Aufgabe beherrschen. Die meisten Pro- 
dukte, die diese Disziplin abdecken, 
binden sich in der Regel in Security- 
Information-Management-Plattformen 
(SIM) ein. 

Viele VA-Systeme werden nach Netz- 
größe und zu scannenden Hosts 
lizenziert. Wer ein großes Netz zu be- 
treuen hat, in dem öfter IP-Adressräume 
hinzugefügt oder entfernt werden, soll- 
te einen offenen Lizenzschlüssel kaufen. 
Er erlaubt es dem Administrator, jede 
beliebige Adresse zu untersuchen. 

Wie Antivirusprodukte oder auf 
Signatur basierende IDS, sind VA-Pro- 
dukte ohne permanente Updates 
nutzlos. Daher ist es ratsam, vor dem 
Kauf die Gebühren für die Ak- 
tualisierungen einzukalkulieren. 

Passive und aktive VA-Scanner sind 
unter dem Strich wichtige Bestandteile 
eines Sicherheitsprogramms. Mit 
anderen Abwehrsystemen eingesetzt, 
helfen sie dabei, die Anfälligkeit gegen- 
über Angriffen zu reduzieren. Wer den 
größten Nutzen aus seinem VA-Konzept 
ziehen will, sucht am besten nach In- 
tegrationsmöglichkeiten in die überge- 
ordneten Management-Lösungen. Ein 
VA-System, das diese Methoden unter- 
stützt, wird sich am Ende immer bezahlt 
machen. pm 


